8,5 yıl önce 27 yaşındaki Avusturyalı Hukuk Fakültesi Öğrencisi Max Schrems, Viyana Ticaret mahkemesinde, Facebook’a karşı “kişisel verilerin ihlali” başlıklı bir dava açtı. O gün Avrupa’da henüz GDPR ismiyle bildiğimiz kanun yoktu.
Avrupa’da ve Türkiye’de Kişisel Verileri Koruma Kanunları
Max Schrems, aslında kişisel verilerin peşine 24 yaşındayken yani 2011’de düşmüştü. Bugün Avrupa’nın dünyadaki tüm ticari işletmeleri (ihracat yapan ya da internet devleri gibi kişisel verilerle uğraşanları) titreten GDPR’ı, Schrems’in Facebook’a ilk başvuruları yaptığında henüz ortada bile yoktu.
2012’de çalışmaları başlayarak, 4 yıldır hazırlanan Avrupa’nın kişisel verileri koruma kanunu (GDPR) nisan 2016’da kabul edildi, Mayıs 2018 itibariyle de tam yürürlüğe girdi.
Avrupa bu konuda hayli özenliydi. Bilgisayarların kullanımı artarken 1981’de üye ülkelerle bir sözleşme imzalamışlar. İnternetin kullanımı artarken Cyber Act adında üye ülkelerin uygulamaları için bir çerçeve yayınlamışlardı. 2016’da kabul edilen GDPR ise sosyal medya kullanımının artması sonrasında gelmişti.
Türkiye’ye bakarsak; 2010 yılında yapılan Anayasa Referandumu’nda propoganda yapılan konulardan birisi Kişisel Verilerin Korunması Hakkı‘nın gelmesi şeklindeydi. AKP uzun süre kulağının üstüne yattı. Çünkü bir yandan telefon dinlemeler sürüyordu. BTK’nın 5809 nolu kanunla verilen madde 59 yetkisi ile idare etmeye çalıştılar ama Anayasa Mahkemesi, refarandumla gelen değişikliğin uygulanması ger ektiğini ortaya koydu.
Dolayısıyla referanduma rağmen, “Kişisel Verileri Koruma Kanunu” ancak 6 yıl sonra nisan 2016’da 6698 sayı ile resmiyet kazandı. Avrupa Birliği’nin GDPR’ı ile aynı dönemde ama ondan daha az hak içerecek şekilde. O nedenle de 2 sene önce Whatsapp “verileri aktaracağım” diye kullanıcıları sadece Türkiye ve Hindistan’da zorladı, Avrupa’ya uygulama yoktu. AB üyeliği çerçevesinde, eksik olanlar 2018’e kadar tamamlanmalıydı ama üyelik sulandı, rejim Başkanlık yönetimine evrildi ve kişisel hakları koruma kanunu bugün 2016’da ne çıktıysa o durumda.
Firmalar yeni kanun çerçevesinde bir sürü para harcadı, danışmanlıklar, yazılımlar aldılar. Veri Sorumluları atadılar ama ülkemizde kişisel verilerin korunması düzgün yürüyor mu acaba?
Max Schrems’in Yaklaşımı ve Davalar
Daha Sosyal İkelem filminin yayınlanmasına 10 yıl vardı ama 2011’de Max Schrems hala hukuk öğrencisi iken Facebook’un kendisine dair ne tür veriler topladığını öğrenmek istemişti. Bir CD içinde aldığı kendisi hakkında tutulan kayıtların derinliği karşısında endişeye kapıldığını söylerken, zamanın Avrupa Birliği mevcut mahremiyet hakları yasaları çerçevesinde kendisine gönderilen bilgilerin bir kısımının aslında çoktan silinmiş olması gerektiğini düşünmekteydi.
Schrems, 3 yıl sonra Facebook’a karşı bir grup davası açtı ve herkesi davaya katılmaya çağırdı. Schrems’in dava dosyasında yazdığı notlara göre, Facebook’un yaptığı kişisel veri ihlalleri uzun bir liste. Ama Schrems bunların sadece bir kaç basit olanını seçtiklerini belirtiyor; Kişisel Verilerin Gizliliği Yönetmeliği, Prism programına katılım, Facebook grafik arama, Facebook uygulamaları, diğer web sayfalarına yönlendirme (mesela like tuşu ile), kullanıcıların hareketlerini takip eden büyük veri sistemleri gibi.
Bu davanın 2014’de açıldığını düşünün. Bizlerin Facebook’un vermediğimiz verileri bile topladığını farketmemize daha 3-5 yıl vardı.
Schrems’in o gün belirttiği çok enteresan bir not da şuydu ki, sonraki 10 yıl içinde bu cümlenin ne kadar doğru olduğunu gördük :
“İrlanda yetkilililerinin Facebook’a karşı bir hareket yapmamasından ciddi bir şekilde şüpheleniyorum. Gözlemciler burda politik nedenler olduğunu öngörüyorlar.”
Bu dava reddedilse de, sonucu yıkıcı oldu. Öyle yıkıcı ki, ondan sonraki 5-6 yılda ABD ne yapacağını şaşırdı, önce AB-ABD arasında “Gizlilik Kalkanı” diye bir anlaşma yapılsa da, o da geçersiz oldu ve sonunda 2022’de bu yüzden yıllardır olmaz dediği Avrupa’nın internet vergisine “evet” demek zorunda bile kaldı.
Açılan davanın uzantısında 2015 yılında, Avrupa Adalet Divanı “Safe Harbour (güvenli liman)” olarak adlandırılan ve Avrupa’lıların verilerinin ABD’ye transferine izin veren anlaşmanın artık geçerli olmadığına karar verdi. Bu anlaşma ABD ile AB arasında 26 nisan 2000’de imzalanmıştı. Arada Snowden’in açıklamaları da etkili olmuştu tabii ki.
Arkasından Schrems reddedilen davayı Avrupa Birliği Mahkemesine taşıdı. “Schrems II” olarak bilinen dava, özetle, insanların dijital verileriyle ilgili iki farklı yasal düzenlemenin birbiriyle çatışmasıyla ilgiliydi : Bir yandan ABD gözetim yasası, diğer yandan Avrupa veri koruma ve gizliliği kanunu (GDPR).
Schrems, İrlanda Veri Koruma Komisyonu’ndan (DPC) Facebook’un SCC kullanımını askıya almasını istedi. Ama İrlandalı düzenleyici, tüm mekanizmanın yasallığı konusunda endişeleri olduğunu söyleyerek onu ve Facebook’u mahkemeye taşıdı.
Bu noktada Schrems’in daha 2011’de bile İrlanda Veri Komisyonu (DPC) konusunda kuşkuları olduğunu üstte not ettiğimizi hatırlatalım. Bunun nedeni, İrlanda’nın Yabancı yatırım çekmek uğruna vergi avantajı sağlamasıdır. Bugün Amerikalı firmaların hemen hepsinin Avrupa merkezi İrlanda’dadır. Dolayısıyla İrlanda bu firmaları kaçırmaktan korkuyor.
İrlanda Yüksek Mahkemesi tarafından yapılan başvuru, AB-ABD Gizlilik Kalkanı adı verilen Avrupa Komisyonu veri aktarım anlaşmasıyla (güvenli liman) ilgili sorulara da yol açtı. Bu, Schrems tarafından daha önce açılan bir dava sonucu 2015 yılında Adalet Divanı tarafından yasaklanan Güvenli Liman (Safe Harbor) adlı uzun süredir devam eden AB-ABD veri aktarım anlaşmasına dair davanın yerini aldı. Dolayısıyla Schrems II diye adlandırıldı. Facebook-Google gibi firmalara, Avrupalı kullanıcıların bilgilerini ABD’deki sunucular üzerinden işlem yapması yasaklandı.
Firmalar bir süre ayak sürüse de, İrlanda Veri Komisyonu isteksiz davransa da, sonuçta 2020’de Amerikalı internet devlerine “veri transferini durdurun” talimatı verildi. Bunun üzerine Facebook, AB’ye “bak giderim ha” uyarısı yaptı.
2022’ye geldiğimizde Avrupa Birliği Avrupa-ABD arasındaki veri transferini durduracağını açıkladı. Bu Google ve Facebook için çanların çalınması yani milyarlarca dolarlık gelirin yok olması anlamına geliyordu. Henüz ABD-AB arasında bir çözüm bulunamamıştı.
Sonunda 25 mart 2022’de ABD – AB arasında Veri Paylaşım Anlaşması imzalandı ama şartları belli değildi. Max Schrems, yeni anlaşmanın “nihai metninin” ortaya çıkmasının daha uzun süreceğini ve AB yasalarına aykırılık görülürse yine mahkemeye taşınacağını söyledi. Arkasından Trump’ın internet vergisine yönelik tehditlerinin Biden yönetimi tarafından geri alındığını ve ABD’nin internet vergisine “evet” demek zorunda kaldığını gördük.
Bu konuda en son gelişme ise şöyle; 4 Ocak 2023’te İrlanda gizlilik otoritesi (DPC), Avrupa Veri Koruma Kurulu’nun (EDPB) en son 5 Aralık’ta aldığı Mark Schrems’in, kişiselleştirilmiş reklamcılık konusunda GDPR’yi ihlal ettiği gerekçesi ile Meta/Facebook aleyhine açtığı davadaki kararını onayladığını duyurması oldu. Facebook’un henüz itiraz hakkı var.
Sonrası…
Bir kaç gün önce Amerika’da siyasetçilerin sosyal medya şirketlerinin önüne geçmeye çalıştıklarına dair bir başka konuyu anlatmıştık. Sorun şu; bu şirketler ABD’nin para ve veri almak için önlerini açması sayesinde de inanılmaz büyüdüler. Zenginliklerinin önünde sadece bir düzine kadar ülke var. Diğer 200+ ülkeden daha büyükler, daha zenginler.
Bu büyük para gücü sayesinde, gün geçtikçe daha aç gözlü firmalar haline geliyorlar. Hem verilerimize karşı çok aç gözlüler, hem de para konusunda. Öyle ki her konuya dalıyor ve o konudaki firmaları yok ediyorlar. Yani “Tekelleşme” çok yüksek düzeyde.
Ancak diğer tarafına bakarsak, bu sosyal medya şirketleri topluma yeni olanaklar yanında, son 40-50 yılda yok olan bazı fırsatları sağlıyor. Bu fırsatlara örnek verelim; “ifade özgürlüğü”, “kendi gibi düşünenleri bulmak”. Bu ise siyasetçileri rahatsız eden esas problem gibi gözüküyor.
Çünkü dünyada siyaset 2 partili tiyatroya kilitlenmiş durumda. İnsanlar seçemiyor ya da seçilemiyor. Oysa sosyal medya bunun dışında bir hikaye anlatıyor. Örneğin yeni gençler (Z nesli dediklerimiz) bu duruma tepki gösteriyor.
İşte bu noktada hepimizin “sosyal medya ikilemi” şu şekilde; “olsun ama beni manipüle etmesin, kişisel verilerime bu kadar aç olmasın”.
Bunu anlatmak için bu yazıyı yazdım. 24 yaşındaki Max Schrems (bugün 35 yaşında) hepimize örnek olmalıdır. Max Schrems’in hikayesi aynen “toplumlar hakettikleri gibi yönetilirler” cümlesinin bir örneği gibi. Avrupa medeni ise, işte bu nedenle medeni. Yani farkındalığı olan ve mücadele eden insan sayısı yüksek.
Bizim bu hikayeden alacağımız ders ise şu; Sosyal medyaları korumalıyız ama korurken, yaptıklarını yapmamaları için de kendi haklarımızı korumak ve onlar da koruması için zorlamak zorundayız. “hak verilmez alınır”.